步骤
方法一:Memprocfs
在M:\forensic\findevil\findevil.txt中查找可疑进程。
筛选出Hmohgnsyc.exe。
在M:\forensic\csv\process.csv中获取进程相关信息,找到程序隐藏在ToDesk下。
或者在M:\sys\proc\proc-v.txt中找到相关目录。
然后在M:\forensic\files\ROOT\Users\h\AppData\Roaming\ToDesk\dev目录下打开程序属性找到版权。
或者在M:\name\Hmohgnsyc.exe-10504\modules\Hmohgnsyc.exe\versioninfo.txt中找到相关信息。
方法二:AXIOM+LoveMemlite
AXIOM在浏览器记录中发现下载过todesk等。
然后在lovememlite中打开进程列表,搜索hmo,发现该程序在todesk下。
